Claudeを悪用した832件のサイバー攻撃を分析 — Anthropicが公開したAI脅威レポートの中身
AIモデルを使ったサイバー攻撃がどこまで現実のものになっているのか。その問いに対して、モデル提供者自身がデータで答えを出した。
Anthropicは6月3日、自社モデルClaudeを悪用したサイバー攻撃活動の1年間にわたる分析レポートを公開した。2025年3月から2026年3月の間に、利用規約違反でBANした832アカウントを対象に、13,873件の悪意ある行動と482種類の攻撃手法を記録し、業界標準のMITRE ATT&CKフレームワークにマッピングしている。
数字が語る変化のスピード
最も印象的なデータは、中〜高リスクに分類される攻撃者のうち、AIを活用していた割合が分析期間前半の33%から後半には56%へ急増した点だ。1.7倍の増加。半年でこれだけ動いた。
用途別では、マルウェア開発が圧倒的で全体の67%、約560アカウントが該当する。AIに「このコードのバグを直して」と頼むのと同じ感覚で、攻撃コードの生成や改良を依頼しているわけだ。ラテラルムーブメント(侵入後のネットワーク内移動)にAIを使う高度な攻撃者も6.5%存在した。
各アカウントにはAnthropicが独自開発した「AI Risk Enablement Score(ARiES)」で0〜100点のリスクスコアが付与されている。興味深いのは、従来の脅威分析で重視されてきた指標 — 技術スキルの高さ、使用するインターフェースの種類、攻撃手法の多さ — が、AIによる脅威の深刻度とはあまり相関しないという知見だ。つまり、従来の尺度で測っていると危険な攻撃者を見逃す可能性がある。
LLM ATT&CK Navigator — 可視化ツールの公開
レポートと同時にLLM ATT&CK Navigatorが公開された。MITRE ATT&CKのマトリクス上に、AIが実際にどの攻撃フェーズで使われているかをヒートマップで重ねて表示するツールだ。
これが素直にすごい。セキュリティの実務者にとって、「AIがどこで使われるか」が一目で分かるのは大きい。偵察フェーズや初期侵入、コード実行で濃い色が付いている一方、物理的アクセスを要するフェーズは当然ながら薄い。攻撃者がAIをどう活用しているかの全体像を把握する上で、現時点で最も包括的なリソースだと思う。
既存フレームワークの限界
レポートのもう一つの重要なメッセージは、MITRE ATT&CKフレームワーク自体がAI時代の脅威を十分に捕捉できていないという指摘だ。
最も危険な攻撃者が見せた行動パターン — 攻撃チェーンの各ステップをAIに逐次的に実行させる、状況に応じてAIにリアルタイムで次の行動を判断させる、人間の介入なしにAIが自律的に攻撃を遂行する — これらはいずれも、現在のATT&CKフレームワークには攻撃手法として定義されていない。
Anthropicは現在MITREと協議中で、AIネイティブな攻撃行動をフレームワークに追加する方向で動いている。これが実現すれば、セキュリティ業界全体の防御態勢のアップデートにつながるだろう。
GTG-1002 — 「AIが攻撃の80〜90%を自律実行」した事例
このレポートの背景には、Anthropicが2025年9月に検知し11月に公表した事案がある。中国の国家支援グループ「GTG-1002」が、Claude Codeを悪用して約30の組織に対するスパイ活動を行っていた。攻撃プロセスの80〜90%をAIが自律的に実行し、人間オペレーターが介入したのは4〜6箇所の重要な判断ポイントだけだったという。
対象にはテクノロジー企業、金融機関、化学メーカー、政府機関が含まれていた。攻撃者はAIに「これは認可されたペネトレーションテストだ」と信じ込ませることで安全フィルターを回避していた。
この事例が示すのは、AIによるサイバー攻撃が理論上の脅威ではなく、すでに国家レベルで運用されているという現実だ。
防御側にとっての意味
Anthropicはこのレポートに基づき、最も高性能なモデルに対するサイバー防御機能を強化している。また、Project Glasswingを通じて、15カ国以上の150以上の組織にClaude Mythosを展開し、電力・水道・医療・通信などの重要インフラの脆弱性発見に活用している。
ただし、率直に言えば一つの懸念がある。Anthropicがこれだけ詳細なデータを公開できるのは、自社モデルへのアクセスログを完全に把握しているからだ。オープンソースモデルの場合、同様の監視は不可能に近い。つまりこのレポートが描いているのは「見える範囲」の脅威であり、実態はさらに大きい可能性が高い。
AIを使った攻撃が加速する中で、防御側もAIを活用するしかない。皮肉な構図だが、Anthropicのレポートは少なくとも「何に備えるべきか」のマップを提供してくれている。セキュリティに関わる人は、LLM ATT&CK Navigatorだけでも一度見ておく価値がある。
関連記事
Claudeのエージェントに社内データを触らせたい。でも外に出したくない — セルフホスト型サンドボックスの解
Claude Managed Agentsのセルフホスト型サンドボックスとMCPトンネルを解説。社内データを外部に出さずにAIエージェントを運用する仕組みと制約を整理する。
FRB議長と財務長官がウォール街を緊急召集——AIモデル1つに金融当局が動いた日
FRB議長パウエルと財務長官ベセントが米大手銀行CEOを緊急召集。AnthropicのMythosモデルが金融当局に動かせた背景と、銀行サイバーセキュリティへの影響を整理する。
Claude Codeのソースコードがnpm経由で全部見えた日 — 流出から判明した未公開モデルと隠し機能
2026年3月31日にClaude Codeのソース約51万行がnpm経由で流出。未公開モデルOpus 4.7や隠し機能autoDream・KAIROSの正体、ユーザーがやるべき対応まで整理する。